Rails 核心团队发布了 ruby on rails 1.2.6,以解决在针对会话固定攻击的修复程序中存在的一个错误(CVE-2007-5380)。此新问题的 CVE 标识符为 CVE-2007-6077。
如果您没有在应用程序中采取特定的会话固定对策,则应升级到此新版本。1.2.6 还修复了在使用未保存的 ActiveRecord 对象上的 has_many 关联时出现的一些回归问题。
与其他的 1.2.x 版本一样,对于 1.2 系列早期版本的用户来说,这 intended to be a drop-in upgrade(即插即用式升级)。
要升级,请运行 `gem install rails`,在 config/environment.rb 中将 RAILS_GEM_VERSION 设置为 ‘1.2.6’,然后运行 `rake rails:update:configs`。